Est-il aisé de se relever après une cyberattaque ? Tout dépend de quel genre d’organisation nous parlons. Entre l’entreprise française Saint-Gobain et le service public britannique de la NHS, les réponses furent différentes. Voici le dernier volet de notre série sur le virus WannaCry.

WannaCry a frappé, et la responsabilité a été attribuée à la Corée du Nord. Pourtant, nous avons vu bien des raisons stratégiques qui font qu’il est excessivement difficile pour les États de dissuader les cyberattaques. L’effort de protection revient donc aux organisations privées et publiques, qui doivent ainsi seules dévier ou encaisser les intrusions.

Pour tout comprendre sur le virus Wannacry, voici nos précédents dossiers :

Nous avons choisi deux exemples parmi les organismes les plus touchés par WannaCry. Le premier est Saint-Gobain, grande entreprise française qui parvient à se rétablir grâce à ses abondantes ressources internes. Le second est la NHS (National Health Service), le service public britannique des hôpitaux et de la santé, qui souffre de problèmes chroniques de finances et d’organisation.

Saint-Gobain : protection, détection, réaction

Fleuron français du bâtiment, Saint-Gobain est une des plus anciennes firmes au monde encore en activité, et la seule du CAC 40 pouvant se targuer d’avoir construit le château de Versailles. Elle a été fortement touchée par WannaCry avant de subir les coups de l’autre grand ransomware de 2017, NotPetya, en juin. La firme estime à 220 millions d’euros de chiffre d’affaires, et à 80 millions d’euros de résultat d’exploitation, ses pertes dues aux cyberattaques sur la première moitié de 2017.

Saint-Gobain estime à 220 millions d’euros de chiffre d’affaires et à 80 millions d’euros de résultat d’exploitation ses pertes dues aux cyberattaques sur la première moitié de 2017

De toutes les entreprises affectées par WannaCry, Saint-Gobain est probablement la plus bavarde. Quand Renault ou Telefónica se fendent simplement d’un communiqué laconique, le géant du BTP multiplie des déclarations publiques — même si, contacté par nos soins, son service presse décline nos demandes de commentaires en expliquant vouloir « passer à autre chose ».

Au-delà de mises à jour bien méritées pour les systèmes Windows, des systèmes de protection ont été mis en place. Parmi eux se trouvent en particulier les sandbox : des environnements informatiques compartimentés où un logiciel suspect peut être exécuté sans que cela n’affecte le reste de la machine. Cela permet de vérifier qu’il ne contient pas de code malveillant. Nicolas Fernandez, directeur de la cybersécurité de la firme, tempère cependant : « on sait en effet que la protection ne suffit pas, et qu’il faut détecter les incidents de sécurité pour réagir. »

Pour la détection, Saint-Gobain s’est tourné vers l’intelligence artificielle : en l’occurrence une solution nommée Vectra Incognito, choisie après WannaCry. Il s’agit d’un IDPS (Intrusion Detection and Prevention System), un système qui scrute le réseau à la recherche d’activités anormales, avertit les administrateurs, et tente de bloquer les menaces. Les preuves de concept, « POC » dans le jargon, s’apprêtaient à être lancées pile au moment où NotPetya a frappé : la mise en œuvre a donc été rapide.

L’IA est en vogue dans beaucoup de domaines, et la cybersécurité en fait partie. Elle comporte bien sûr toutes les questions associées au machine learning en général : les algorithmes tendent à devenir des « boîtes noires » dont on ne connaît pas vraiment le fonctionnement. Dans le cadre de la cybersécurité, un attaquant pourrait ainsi « laver le cerveau » de l’algorithme pour lui faire croire que tel bout de code malveillant est en fait sans danger.

multinet.jpg

La tour Saint-Gobain actuellement en cours de construction à la Défense, près de Paris. // Source : Arthur Weidmann via Flickr

Une des raisons particulières du succès de l’IA est qu’elle aide à pallier le manque d’experts de la sécurité informatique sur le marché du travail. En 2010 déjà, la commission américaine sur la cybersécurité s’alarmait d’une « crise du capital humain en cybersécurité ». « Il n’y a ni cadre large d’experts cyber ni de carrière cyber établie sur laquelle s’appuyer, en particulier au sein du gouvernement fédéral », constatait le rapport. En 2014 au Royaume-Uni, une commission d’enquête parlementaire s’attendait à un manque de deux millions d’experts en sécurité informatique à l’échelle mondiale d’ici à 2017.

La réaction passe chez Saint-Gobain par des exercices de formation du personnel, qu’il soit technique ou non. Sur le plan informatique, cela implique des tests d’intrusion, c’est-à-dire des simulations de cyberattaques. Les employés non-initiés aux pratiques du hacking ou du social engineering ont pu réviser leurs bases en bonnes pratiques informatiques grâce à des campagnes de faux fishing, même si ni WannaCry ni NotPetya ne se sont pas propagés par ce vecteur.

« La résilience est à la fois le plus compliqué et le plus important »

Il faut aussi pour l’entreprise apprendre à fonctionner même en étant touché par une attaque. La « résilience », explique Claude Imauven, directeur général exécutif du groupe, « est à la fois le plus compliqué et le plus important. Il faut pouvoir rappeler les back-up ou travailler en mode dégradé. Fonctionner sans les outils informatiques, cela signifie parfois revenir au crayon et aux bons de commande papier. » Tout cela implique de former le personnel et d’adapter une partie de l’organisation à un tel fonctionnement « low-tech ».

Le coût total des mesures s’élève à « quelques dizaines de millions d’euros ». Une somme modique pour une entreprise de la taille de Saint-Gobain. Des firmes plus petites, néanmoins, n’auraient pas forcément les moyens de se financer une protection aussi sophistiquée. Comme s’interroge Claude Imauven, « Saint-Gobain a pu résister parce qu’il s’agit d’une grosse structure… mais quid de la PME ou de l’ETI (Entreprise de Taille Intermédiaire) ? »

La NHS ou les malheurs du service public

De notre côté de la Manche, on s’imagine difficilement à quel point la NHS britannique est tentaculaire. Un million de patients sont traités toutes les 24 heures, et le 1,7 million de travailleurs dans l’organisme en font le cinquième plus gros employeur de la planète. Le Département britannique de la Santé engloutit 125 milliards de livres sterling par an (143 milliards d’euros), soit autant que le chiffre d’affaires d’Alphabet/Google. Et la NHS est connue au Royaume-Uni comme l’incarnation du service public exsangue, désorganisée et chroniquement dans le rouge.

Il est donc malheureusement peu surprenant qu’un organisme comme la NHS ait été une des principales victimes de WannaCry. Aucun patient ne semble avoir été mis en danger ; mais avec 19 000 rendez-vous annulés ou perturbés, le service a souffert des pertes de 92 millions de livres, dont 73 millions après la fin de la cyberattaque engagée pour le nettoyage et la mise à jour des systèmes informatiques.

Les enquêtes des autorités britanniques on conduit à un rapport de la National Audit Organisation (NAO), publié en octobre 2017. Le constat est accablant. « C’était une attaque relativement peu sophistiquée qui aurait pu être évitée par la NHS en suivant les bonnes pratiques de base de la cybersécurité, déplore Amyas Morse, auditeur général de la NAO. Des cybermenaces beaucoup plus élaborées que WannaCry circulent dans la nature ». L’ancien président de NHS Digital, Kingsley Manning, a déploré face à la BBC un déficit de temps et de ressources dans l’organisme, mais aussi « franchement un manque d’attention et de prise au sérieux » de la menace.

Selon le rapport, la NHS aurait été alertée de ses failles de cybersécurité un an avant l’arrivée de WannaCry, soit en 2016. Des mesures pour pallier ces problèmes ont certes été prises. Pourtant, aucune réponse officielle à ces alertes n’a été écrite avant juillet 2017, un mois après la cyberattaque. Un plan d’action face à ce genre d’incidents avait bien été développé, mais celui-ci n’avait pas été testé, en particulier auprès des branches locales de la NHS. « Avant le 12 mai 2017, le département n’avait aucun mécanisme formel pour vérifier que les organisations [locales] de la NHS avaient suivi ses recommandations », constate le rapport.

Pour un organisme de la taille de la NHS, la coordination entre les différents niveaux peut en effet poser de réels problèmes. Un autre rapport, issu du Parlement britannique et publié en avril 2018, souligne que les communications émanant des divers organes de la NHS n’étaient pas coordonnées pendant l’attaque. Le seul canal prévu pour ce faire était l’email, difficilement utilisable en cas d’infection généralisée. La NHS a depuis répondu au problème en développant un système de communication par SMS, fonctionnant autant pour les employés que pour les patients.

Pour implémenter les mesures recommandées, 21 millions de livres de budget supplémentaire ont été allouées à la cybersécurité sur l’année 2017. Cet argent a été trouvé dans les fonds censés servir à la dématérialisation des ordonnances et autres documents médicaux. D’autres dépenses se sont enchaînées, se reposant surtout sur le secteur privé. Un contrat de trois ans à 150 millions de livres a été signé avec Microsoft pour la mise à jour de tous les systèmes à Windows 10, et la mise en place du logiciel Windows Defender ATP sur les 250 000 machines de l’organisme public. IBM a également décroché un partenariat stratégique de trois ans à 30 millions de livres pour renforcer la division cybersécurité de la NHS.

Appliquer des standards minimums de cybersécurité ? «Le jeu n’en vaut pas la chandelle »

Un avis commissionné par le gouvernement, publié en février 2018 et rédigé par le chief information officer Will Smart de la NHS, a posé un « standard minimum » pour la cybersécurité que la NHS devait atteindre d’ici à 2021. Le coût total de ces mesures se situerait entre 800 millions et 1 milliard de livres. Mais des documents obtenus par le Health Service Journal en octobre 2018 indiquent que NHS Digital aurait refusé d’implémenter ces recommandations sur l’ensemble de l’organisme, estimant que financièrement « le jeu n’en vaut pas la chandelle ».

Pourtant, depuis WannaCry, la NHS a accumulé bien d’autres fiascos de cybersécurité. Entre le 25 mai et fin juin 2018, 122 incidents de sécurité des données ont été enregistrés sur l’ensemble du service. Sur le seul mois d’avril 2018, quatre branches de la NHS sur cinq touchées se sont trouvées incapables de répondre à une alerte cyber de « haute sévérité », tandis qu’au moins un organisme a été touché par le virus Orangeworm, et qu’un autre a fait accidentellement fuiter une base de données sensible sur Internet.

Pour des services aussi essentiels aux citoyens que les médecins et les hôpitaux, la route de la sécurité informatique s’annonce longue.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !